Изменить

Поделиться через

Централизованная настройка и защита приложений

Microsoft Entra ID
конфигурация приложения Azure;
Azure Key Vault

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

В этой статье описывается решение для создания надежного и масштабируемого приложения в распределенной среде. Решение использует Конфигурация приложений Azure и Azure Key Vault для управления параметрами конфигурации приложений, флагами компонентов и параметрами безопасного доступа в одном месте.

Архитектура

На следующих схемах показано, как Конфигурация приложений и Key Vault могут совместно управлять и защищать приложения в средах разработки и Azure.

Среда разработки

В среде разработки приложение использует удостоверение с помощью Visual Studio или версии 2.0 Azure CLI для входа и отправки запроса проверки подлинности в идентификатор Microsoft Entra.

Схема архитектуры, показывающая, как приложение входит в среду разработки и выполняет проверку подлинности.

Скачайте файл Visio этой архитектуры.

Промежуточная или рабочая среда Azure

Промежуточные и рабочие среды Azure используют управляемое удостоверение для входа и проверки подлинности.

Схема архитектуры, показывающая, как приложение входит и проходит проверку подлинности в промежуточной или рабочей среде.

Скачайте файл Visio этой архитектуры.

Поток данных

  1. Приложение отправляет запрос проверки подлинности во время отладки в Visual Studio или выполняет проверку подлинности с помощью MSI в Azure.
  2. После успешной проверки подлинности идентификатор Microsoft Entra возвращает маркер доступа.
  3. Пакет SDK Конфигурация приложений отправляет запрос с маркером доступа для чтения значения секрета key Vault приложения Конфигурация приложений key Vault для хранилища ключей приложения.
  4. После успешной авторизации Конфигурация приложений отправляет значение конфигурации.
  5. Используя удостоверение входа, приложение отправляет запрос в Key Vault, чтобы получить секрет приложения для секрета, который Конфигурация приложений отправлен.
  6. После успешной авторизации Key Vault возвращает значение секрета.

Компоненты

  • Идентификатор Microsoft Entra — это универсальная платформа для управления удостоверениями и их защиты.
  • Конфигурация приложений предоставляет способ хранения конфигураций для всех приложений Azure в универсальном размещенном расположении.
  • Управляемые удостоверения предоставляют удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra.
  • Key Vault защищает криптографические ключи и другие секреты, используемые облачными приложениями и службами.

Подробности сценария

Облачные приложения часто работают на нескольких виртуальных машинах или в контейнерах в нескольких регионах, а также используют нескольких внешних служб. Создание надежного и масштабируемого приложения в распределенной среде является достаточно сложным.

С помощью Конфигурация приложений вы можете управлять всеми параметрами конфигурации приложения, флагами компонентов и параметрами безопасного доступа в одном месте. Конфигурация приложений легко работает с Key Vault, в котором хранятся пароли, ключи и секреты для безопасного доступа.

Потенциальные варианты использования

Любое приложение может использовать Конфигурация приложений, но следующие типы приложений пользуются большинством преимуществ:

  • Микрослужбы, работающие на Служба Azure Kubernetes (AKS) или других контейнерных приложениях, развернутых в одном или нескольких регионах.
  • Бессерверные приложения, которые включают Функции Azure или другие приложения, управляемые событиями без отслеживания состояния.
  • Приложения, использующие конвейер непрерывного развертывания (CD).

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

  • Лучше всего использовать другое хранилище ключей для каждого приложения в каждой среде: разработку, предварительную разработку Azure и рабочую среду Azure. Использование разных хранилищ помогает предотвратить общий доступ к секретам в средах и снизить угрозы в случае нарушения.

  • Чтобы использовать эти сценарии, удостоверение входа должно иметь роль Конфигурация приложений средства чтения данных в ресурсе Конфигурация приложений и иметь явные политики доступа для получения секретов в Key Vault.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

  • Sowmyan Soman | Главный архитектор облачных решений

Следующие шаги

Дополнительные сведения о технологиях компонентов: